Propriété de la borne supérieure

Nous commençons par quelques définitions. Un sous-ensemble S de HR_ω est un ensemble d’éléments de HR_ω qui satisfait une certaine propriété définie dans le système formel. Un tel sous-ensemble S est borné pour la relation >ω s’il existe b ∈ HR_ω tel que b >ω s pour tout s ∈ S ; l’élément b s’appelle un majorant de S. Une borne supérieure pour S est un élément b ∈ HR_ω tel que :

— ∀s ∈ S b >ω s (b est un majorant de S) ; — ∀b⁰ (b >_ω b⁰) ⇒ (∃s ∈ S s >_ω b⁰).

Une borne supérieure est unique : si b et c sont deux bornes supérieures de S, alors on a les propriétés suivantes : ¬(b >_ω c) et ¬(c >ω b) ; par conséquent, en vertu des propriétés des relations >_ω,>ω et = ω, on en déduit que c>ωb et b >ω c et par conséquent que b =_ωc.

Le principe constructif de la borne supérieure : Soit S un sous-ensemble non-vide de HR_ω, qui est borné pour la relation>ω, tel que pour tous α, β ∈ HR_ω avec β >_ω α, ou bien β est un majorant de S ou bien il existe s ∈ S avec s >_ω α ; alors S admet une borne supérieure. Démonstration. La formalisation et la preuve de cette propriété dans Coq suit la preuve ma-thématique informelle proposée par Agathe Chollet dans [CWF⁺09], qui s’appuie elle-même sur les idées proposées par Bridges dans [BR97]. Cette preuve est structurée en deux parties : nous construisons un candidat b pour la borne supérieure, puis nous vérifions que ce candidat b est bien la borne supérieure.

Définitions en Coq Un sous-ensemble est décrit par sa propriété d’appartenance : S x signifie que x appartient à l’ensemble S. Nous définissons ensuite les notions de majorant (upper_bound et de borne supérieure (least_upper_bound).

Definition subset := HRw->Prop.

Definition least_upper_bound (S:subset) (b:HRw) : Prop := (forall s:HRw, (S s -> b >=w s)) /\

(forall b’:HRw, (b >w b’) -> exists o:HRw, S o/\ o >w b’). Definition upper_bound (X:subset) (m:HRw) : Prop :=

forall x:HRw, X x -> m >w x.

Deux suites (s_n, b_n) Dans la version initiale de la preuve à la main, quatre suites (s_n, b_n, α_n, β_n) mutuellement récursives sont définies afin de construire un candidat b pour la borne supérieure. La formalisation en Coq nous a permis de constater qu’il suffisait de calculer récursivement les deux suites s_n et b_n. En effet, pour chaque rang n, les suites α_n et β_n ne dépendent que des valeurs de s_net de b_n. Il n’est donc pas utile de les inclure dans le processus de calcul récursif des suites (s_n) et (b_n). A chaque étape, les valeurs α_n et β_n peuvent être recalculées de la manière suivante : αn= ² 3 ^{× sn+} 1 3 ^{× bn βn=} 1 3 ^{× sn+} 2 3 ^{× bn.}

Calculer les termes suivants s_n+1et b_n+1des suites ne dépend que les deux termes précédents s_n et b_n. A partir de ces éléments, nous pouvons constuire α_n et β_n ainsi que la preuve de la propriété β_n >ω αn. Cependant, nous devons propager à chaque étape n les trois propriétés principales de s_n et b_n :

— s_nappartient à S — b_n est un majorant de S

— b_n−_ωs_n=_ω(²₃)ⁿ×_ω(b₀−_ωs₀).

Nous réalisons cela en spécifiant aussi précisément que possible la fonction lors de sa définition formelle en Coq. Cela se traduit par un nombre élevé de postconditions pour la fonction def_s_b. Ces propriétés caractérisent le résultat (s_n, bn) de la fonction appelée sur les paramètres n et Hn (qui est une preuve que lim n ∧ 0 6 n).

Definition def_s_b :

forall n:A, forall Hn:(lim n /\ 0 <= n), {sn:HRw & {bn:HRw & S sn /\ upper_bound S bn /\ bn +w (-w sn) =w ((power two_third n Hn)*w (b0 +w (-w s0))) } }.

La notation {x : A & Q x} correspond à la quantification existentielle (calculatoire) dans Coq. Elle exprime qu’il existe un élément x de type A tel que l’on a Q x, avec Q une fonction à valeurs dans la sorte Type. Une telle quantification peut être éliminée (contrairement à la quantification existentielle usuelle avec la sorte Prop) pour utiliser les valeurs de sn et bn dans la suite des calculs.

Initialement, nous commençons avec (s₀, b₀) où s₀ est un élément arbitraire de S, b₀ un majorant de S, α₀= ²₃s₀+¹₃b₀ et β₀ = ¹₃s₀+²₃b₀.

Cela nécessite une hypothèse en Coq qui exprime que l’on peut toujours choisir un élément arbitraire s de S. Cela se traduit par une forme d’axiome du choix, qui s’exprime de la manière suivante :

Definition non_empty (S:subset) := {x:HRw|S x}.

Grâce à la construction {x : HR_ω & X x}, la définition précédente nous donne un principe d’élimination permettant de prendre (quand on en a besoin) un élément x de HR_ω dans X.

Supposons que pour un n donné, nous disposions des termes (s_n, bn). Nous pouvons construire les termes (α_n, βn) ainsi qu’une preuve de la propriété αn <ω βn. Par hypothèse, deux cas distincts peuvent se produire :

— Premier cas β_n est un majorant de S. Nous choisissons alors s_n+1 et b_n+1 tels que s_n+1= s_n et b_n+1= β_n.

— Deuxième cas il existe s tel que (S s) et α_n <ω s. Nous choisissons alors sn+1 et b_n+1 tels que s_n+1= s et b_n+1 = b_n+ s − α_n.

Propriétés clés. Plusieurs propriétés clés des éléments de la suite sont déjà décrits dans le type de la fonction def_s_b. Ces propriétés sont vérifiées par construction (c’est-à-dire qu’elles sont établies en même temps que les suites sont effectivement calculées). Parmi elles, nous savons que, pour chaque n, limité et positif, la propriété S(s_n) ∧ upper_bound S b_n est vérifiée. Nous en déduisons que pour tout k et pour tout n, la propriété suivante est vérifiée : b_k >_ω s_n. De plus, b_n et s_nsont reliés par la relation suivante :

b_n−_ωs_n=_ω (² 3⁾

n×_ω(b₀−_ωs₀).

En plus des propriétés déjà spécifiées dans le type de def_s_b, nous avons besoin de montrer que la suite (s_n) est croissante. Bien que cela soit immédiat à partir de la définition mathéma-tique, c’est assez technique à démontrer en Coq. En effet, l’application du principe d’induction spécifique nat_like_induction (qui simule le principe d’induction des enters naturels nat_ind pour les éléments standards de A) et ses règles de réduction associées est rendue plus difficile par la présence de Σ-types existentiels et de constructions let-in dans la définition def_s_b. De plus, replier les définitions expansées (notamment l’appel récursif à nat_like_induction) doit être fait à la main⁵.

Grâce à l’axiome ANS5, les suites (s_n) et (bn) peuvent être étendues à tous les entiers, y compris les non-limités. De plus, le principe de permanence nous permet d’établir l’existence d’un nombre infiniment grand ν tel que la propriété suivante est vérifiée :

min

06k6νb_k> sν > . . . > s1 > s0. Un candidat pour la borne supérieure de S : b := min

06k6νbk

L’étape suivante, qui consiste à vérifier que b est bien la borne supérieure, peut se résumer à la démonstration des deux propriétés suivantes :

— d’une part, b est un majorant de S,

5. Cela nécessite de copier-coller le but courant et d’appliquer la tactique change pour remplacer explicitement ce terme par un autre, mieux adapté à la suite de la preuve. Le système peut établir que les deux termes sont convertibles, mais il ne peut pas inventer le terme que l’on souhaiterait avoir dans le but.

— d’autre part, b est effectivement une borne supérieure, c’est-à-dire que pour tout b⁰ <_ω b, il existe un élément s ∈ S tel que s >_ωb⁰.

Le lecteur intéressé pourra consulter les détails de ces preuves dans les fichiers LUB*.v du développement Coq (http://dpt-info.u-strasbg.fr/~magaud/Harthong-Reeb/).

A ce stade, nous avons démontré formellement que la droite d’Harthong-Reeb, construite à partir d’un ensemble minimal d’axiomes pour l’arithmétique non-standard comme celui présenté dans la section 4.1, vérifie bien la description de Bridges d’une droite constructive réelle.